• 企业级电子商务软件
  • 服务热线:400-776-9999

这项新规五一正式实施,马云、李彦宏准备好了吗?

日期: 2018-04-25 17:47:11 点击数:  

长久以来,互联网时代的隐私问题就像一头“灰犀牛”,人人都可以看到它,但大家都在有意无意地忽视它。百度公司董事长李彦宏关于中国人愿意让渡自己的隐私以获得更多便利的发言固然刺耳,但在现实中又有多少人会在使用APP前认真阅读其使用个人信息的协议呢?
在互联网时代,个人信息包含的内容正在变得越来越广泛,除了个人身份信息、个人财产信息等人们较为熟悉的内容外,还包括个人生物识别信息、网络身份标识信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息等等。
如今,每个人都在或主动或被动地泄露着这些个人信息:在家中阳台拍一张照片发到朋友圈可能就会泄露你的家庭住址,周末外出就餐时在APP上“打卡签到”也会向外界透露你的行踪……除了这些无意间泄露的信息外,为了获取更为便捷的服务,我们将自己的大量信息交到互联网企业手中,但却很少考虑它们被泄露、被滥用的可能。随着互联网企业对我们的“画像”越来越精准,我们在浑然不觉间已经变成了“透明人”。
但2018年以来的一连串事件却刺痛了人们本已麻木的神经,从“支付宝年度账单事件”到Facebook用户数据被滥用,人们感受到自己的隐私被侵犯,在网络世界失去了安全感。但在人们的生活已经难以离开互联网与各种APP的当下,我们又能怎么办?
各国的监管者也在面临同样的问题,如何通过法律法规与技术手段更好地保护人们的隐私?正在人们愈发关注隐私问题之时,5月1日起,推荐性国家标准《信息安全技术 个人信息安全规范》正式实施,对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定。
当企业有了可以参照的标准,接下来的问题就是距离达到标准还有多远?那些掌握着我们个人信息的企业有能力保护好它们吗?而一些“任性”惯了的互联网巨头们又愿意不再“任性”地使用我们的个人信息吗?
从支付宝到Facebook,“清算”互联网企业“原罪”
信息泄露丑闻把扎克伯格拽出福布斯富豪榜前五位
4月10日、11日,Facebook首席执行官扎克伯格连续两天参加美国国会听证会,在10个小时的时间里,他一个人面对议员们潮水般的问题——
Facebook是否愿意改变该平台的默认设置并收集尽可能少的用户数据?
公司是否从未登录Facebook的设备中收集数据?
俄罗斯是否利用大量Facebook主页在2016年总统大选期间散布假新闻?
扎克伯格一改往日T恤搭配牛仔裤的穿着,换上一套西装的他说的最多的词便是“道歉”与“责任”,这位33岁的Facebook创始人需要化解可能是公司成立以来最大的一次危机。
这场危机曝光于2018年3月,简而言之,超过5000万Facebook用户的信息被一家成立于2013年,名为剑桥分析(Cambridge Analytica)的公司获取,在用户不知情的情况下,剑桥分析向这些用户精准投放广告内容,帮助特朗普在2016年竞选美国总统。
Facebook用户的数据又是如何流入剑桥分析手中的呢?其来源就是那种人们在社交媒体上经常见到,甚至乐于参与的性格测验。剑桥大学研究人员亚历山大·科根(Aleksandr Kogan)于2013年开发了一款性格测试的应用,截至2015年,科根不仅获取了千万用户信息,同时还将这些信息分享给了剑桥分析。Facebook已于2015年屏蔽了科根关于性格测试的应用,并且敦促科根和剑桥分析删除用户信息,其当时应允删除,但Facebook并未跟踪调查其后续是否兑现允诺。2018年3月,媒体曝光剑桥分析并没有像3年前承诺的那样删除几千万用户的信息,同时造成了信息泄露。
在丑闻爆发后,Facebook股价3月19日、20日连续大跌,两日市值蒸发500亿美元。据测算,扎克伯格两日财富蒸发超80亿美元,他也因此跌出福布斯富豪榜前五位。
值得注意的是,此次Facebook事件的关键并不在于数据资产本身被盗用或泄露,问题发生在应用层,与其说是泄露,不如称之为用户的数据被第三方滥用。
在3月底扎克伯格对事件首次做出回应时便表示:“这严重触犯了用户对我们的信任,我十分抱歉,现在正在采取一系列措施确保其不会再次发生。”他表示,Facebook团队已经阻止了像剑桥分析这样的程序获取如此多的个人信息,目前也正在减少用户使用Facebook时被获取的个人信息。并且,脸书目前正在调查每一个从Facebook手中得到数据的程序,“我们预计除了剑桥分析外还有其他程序,我们将阻止他们并告知所有受影响的人们。”
就当Facebook与扎克伯格因为第三方应用滥用用户数据而备受煎熬之时,用户隐私问题也成为国内舆论关注的焦点。
当地时间2018年4月10日,美国华盛顿,Facebook公司创始人兼CEO扎克伯格出席美国参议院商业、科学和运输委员会及司法委员会联席听证会,为Facebook“泄密门”作证。(视觉中国)当地时间2018年4月10日,美国华盛顿,Facebook公司创始人兼CEO扎克伯格出席美国参议院商业、科学和运输委员会及司法委员会联席听证会,为Facebook“泄密门”作证。(视觉中国)
李彦宏言论遭抨击:谁说中国人不关注隐私问题
“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。”3月26日,百度公司董事长兼首席执行官李彦宏在参加中国发展高层论坛时发表了上述言论,随即引发了对个人信息保护问题的讨论。
这段事后招致猛烈抨击的话有断章取义的成分,李彦宏更完整的表达还包括:百度当下会更加注重隐私问题,我国也在加强法律法规的建设,“我们要遵循一定的原则,如果数据会使使用者受益,他也愿意,我们就会去做。”
中国人对于隐私问题是否足够敏感可能难以判断,但可以肯定的是,进入2018年以来,中国的互联网用户比以往更加关注个人隐私问题了。
2018年1月初,江苏省消费者保护委员会向百度提起一则民事诉讼,指百度旗下APP涉嫌“监听电话、定位”。随后,百度召开媒体沟通会,强调旗下APP不会、也没有能力监听电话,同时百度APP敏感权限均需授权,且用户可自由关闭。
话虽如此,但在1月11日,北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司(今日头条)3家企业由于相关手机应用软件存在侵犯用户个人隐私的问题被工信部信息通信管理局约谈,被指对照网络安全法等有关法律法规,3家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求3家企业本着充分保障用户知情权和选择权的原则立即进行整改。
个人信息保护不力,支付宝收到央行18万元罚单
相比于百度,今年更受舆论关注的是支付宝“年度账单”事件。2018年元旦前后,支付宝推出了一项为用户提供2017年用户个性化账单的服务,不少人都在朋友圈晒出了自己的账单,但北京市岳成律师事务所高级合伙人岳屾山律师却看出了其中的“漏洞”,他最初在微博上质疑称,支付宝年度账单首页的“我同意《芝麻服务协议》”和此账单的生成没有必然联系,当用户不同意该协议时,依然可以生成自己的个性化账单,但如果用户没有注意到,就会直接同意这个协议,允许支付宝收集信息,包括在第三方保存的信息。
芝麻信用管理公司随即发布“关于支付宝年度账单首页《芝麻服务协议》的情况说明”,对公众表达歉意并称已经调整页面,取消默认勾选。
“多年来中国的互联网企业对个人信息的保护意识不够,可以说犯着对消费者的‘原罪’一路走来,现在是时候对之前的做法进行大的调整了。”中国人民大学金融科技与互联网安全研究中心主任杨东在支付宝“年度账单事件”发生后对《中国经济周刊》记者表示,该事件的转折意义在于,社会大众此前对自身个人信息是否被互联网企业滥用漠不关心,只顾享受更方便的服务而无条件地提供个人信息给企业。随着该事件的发生,消费者对个人信息安全的保护意识旋即提升。
其实,个人信息的不当使用和保护不力一直是网络经济中的顽疾。2016年发布的《中国个人信息安全和隐私保护报告》称,超过七成受访者认为个人信息泄露问题严重;多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;在租房、购房、购车、考试和升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%;有26%的人每天收到两个以上的垃圾短信,20%的人近一个月来每天收到两个以上的骚扰电话。
人们每天浏览的网页,使用的手机APP可能正是泄露个人信息的一大源头。
2017年12月,南都个人信息保护研究中心发布了《2017个人信息保护年度报告》,在研究了1550家网站和APP的隐私政策后得出结果,平台隐私政策透明度的分布呈陡峭的金字塔形,即透明度高的极少,透明度低的则超过总数的80%,互联网金融类和购物类中透明度低的占比甚至高于90%,参评平台的隐私政策普遍存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。
2018年3月,中国人民银行杭州中心支行对支付宝做出行政处罚,因为在客户权益、产品宣传及个人信息保护等方面存在违法行为,支付宝收到18万元罚单。
“默认勾选”“最小化原则”“跨界融合”
2018年1月10日,国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业,即蚂蚁金服负责人。网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合即将于5月1日实施的“个人信息安全规范”国家标准的精神,也违背了蚂蚁金服与其他企业在2017年9月共同签署的个人信息保护倡议书的承诺。
其实,彼时“个人信息安全规范”并未正式生效,但已成为有关部门监管时的重要依据。
2017年12月,推荐性国家标准《信息安全技术 个人信息安全规范》(下称《规范》)出台,将于2018年5月1日起正式实施;在更早之前的2017年6月1日,《中华人民共和国网络安全法》正式实施,其中有专门章节针对保护个人信息安全。
“在我个人看来,《规范》首先遵循了网络安全法确立的个人信息保护框架,其次也提供了遵从网络安全法关于个人信息保护要求的一个良好方案。”《规范》起草人之一、北京大学互联网发展研究中心研究主管洪延青对《中国经济周刊》记者表示,不能说如果企业的做法与《规范》不符合就一定违反了网络安全法对个人信息保护的相关要求,但如果企业按照《规范》去做,达到合规,则肯定会符合网络安全法的规定。也就是说,如果企业没有对《规范》合规,不能说其肯定触犯了网络安全法,其完全可以在《规范》之外自己制定一套符合网络安全法对个人信息保护要求的制度,但其制定成本会远远大于对《规范》合规。
《规范》对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定,企业终于有标准可以参照了。
“默认勾选”绑架用户
“支付宝年度账单事件”中比较令人关注的是涉事企业在页面中并不显眼的地方安排了“我同意《芝麻服务协议》”的选项,并且提前替用户勾选,用户如果不同意,需要再点击一下复选框。用户如果稍有疏漏,就会“被自愿”地同意该协议,存在第三方和支付宝内的个人信息便会被企业收集。
《规范》规定,有关数据控制方“在间接获取个人信息时,作为接收方的企业有义务要求提供方对相关个人信息的来源进行说明并确认其合法性,同时还应当了解个人信息主体对于提供方的授权范围,包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容,若接收方处理个人信息超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意。”在此事件中,支付宝对用户的提示信息字体很小,并处在按钮下方易被忽略的位置,且默认勾选也远远不能算是个人信息主体的“明示同意”。
类似于“默认勾选”的“绑架”做法其实不只存在于某一家企业,其似乎是互联网行业的“顽疾”。
线上医疗企业丁香园创始人李天天曾在国外体验过一种具有自助挂号功能的软件,该软件也会让用户选择同意或不同意隐私政策,若不同意,则无法进入服务流程的下一步,也就是说无法实现自助挂号功能,线上医疗行业内部对此条款称为“知情同意”,但背后的一句话则是,“若不同意,则无法使用该服务”。也就是说,“知情同意”其实是“知情后必须同意,否则不提供服务”。值得注意的是,此种做法在目前国内的线上医疗企业中也是相当普遍,浙江省卫生信息学会秘书长倪荣曾对《中国经济周刊》记者评价说:“这种‘知情同意’其实是对消费者个人信息保护程度严重不到位的。”
获取信息“最小化原则”将打倒一大片互联网企业?
除“默认勾选”外,支付宝的做法实际上也不符合《规范》中的“最小化原则”。
所谓“最小化原则”包含数量和存储时间两个概念上的“最小化”。《规范》规定数据控制方“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最低频率;个人信息保存期限应为实现目的所必需的最短时间”。也就是说,既然不勾选同意《芝麻服务协议》也可生成个性化年度账单,支付宝应在尽可能少量、低频收集个人信息的前提下实现账单功能,连对用户出示同意《芝麻服务协议》的选项都 “多此一举”。
按照洪延青的说法,网络安全法中的正当性和必要性原则给出了一个大的框架,此为《规范》中“最小化原则”的司法背书来源。
“最小化原则”可能会“打倒一大片”互联网企业,原因在于目前不少企业所遵循的不是“最小化原则”,而是“最大化原则”。
“最小化原则肯定是法律精神,但在国内互联网企业中,之前推行的一套做法其实是严重违背这个精神的。”一位资深投资人士对《中国经济周刊》记者表达了自己的担忧,他表示,从商业利益角度出发,数据控制方只有尽可能多地获得用户海量,且类型多样的数据,才能生成最准确的用户画像,进而产生更精确的营销内容,比如“精准推送”。
然而,若企业减少收集用户个人信息的频率和数量,也缩短了存储时间,是否意味着用户所能享受到的个性化服务变得不那么“贴心”?中国政法大学知识产权研究中心特约研究员李俊慧对此持否定态度,“用户个人信息与大数据分析有相关性但没有必然联系,互联网企业精准营销更多是基于大数据分析,只是在其使用的设备中予以推送展示,对个人敏感信息并不一定需要使用,因此精准营销与个人信息保护并不冲突。”
丁香园创始人李天天的回答则更加直接:“如果由于监管限制,导致业务无法开展或者影响品质,我认为还是应该服从监管。”他表示,以医疗行业为例,美国的监管十分严格,但确实避免了很多问题。
APP演变成多功能平台,“一揽子”授权不可取
如今,随着“跨界融合”,不少应用已不再具备单一功能,而是在基本服务之上叠加了各种其他功能,演变成聚合性平台。
以微信和支付宝两款人们常用的APP为例,微信最初以社交功能切入市场,随后演变出支付、理财、生活缴费等叠加功能,同时也搭载了大众点评、美团外卖、京东优选等第三方服务;支付宝此前以支付功能入局,此后也开发出包括红包在内的社交和聊天功能,叠加了如余额宝、芝麻信用等金融服务。“我已经说不清楚微信究竟还是不是聊天工具了,好像不是。”一位从2012年微信发布不久便开始使用微信的用户对记者说。
在扎克伯格出席听证会期间也被问道,“Facebook是一家电视公司吗?”扎克伯格回应说,我认为我们是一家科技公司。
多功能聚合性平台也对个人信息保护带来了隐患。当某个平台拥有多项功能时,从减少成本的角度出发,平台可能会采取“一揽子”协议的做法,即在用户最初使用平台提供的服务时,采用较为明显的方式对隐私政策以及收集个人信息的类别和用途做出较为详细的展示,当用户点击“同意”后,则被视为该用户在使用所有类别的功能时都同意了这一版本的条款。
针对“一揽子”授权“绑架用户”的嫌疑,《规范》做出了改善的建议:将核心功能与附加功能区分。洪延青在解读这一条款时称,即便点击了隐私政策长文本的同意,并不意味着附加功能同时一并打开,在现实使用中,还是需要再次点击同意。“以即时通信APP为例,其核心功能是聊天,在实现这一核心功能时需要收集敏感信息或是普通个人信息,用户为了使用都需要提供。但其中的理财等功能,明显属于附加功能,如果用户只想聊天,不想使用理财功能,就不能认为同意了隐私政策就意味着开通理财功能时不需要再次征询。”
据了解,京东目前通行的《京东隐私政策》就在向《规范》的要求靠拢。“新的政策条款对于用户的隐私保护做到了具体化和透明化,用户对个人信息的掌控力度更高;在收集、使用、存储和传输用户信息的时候,京东会明确告知用户相关信息的使用目的和范围,包括如果将用户信息用于新的目的或范围将重新获取用户同意,提供如何关闭位置、通知等授权的具体操作步骤等。”京东首席安全官李德浩对《中国经济周刊》记者说。
但接下来的问题是,在聚合化趋势日益明显的互联网行业,巨头们都不愿将自身定位为某个领域,从事单一业务的企业。京东早已不再是单纯的零售平台,BAT莫不如此。“什么是核心功能,什么是附加功能,普遍认可的理解是核心功能是用户注册产品或服务的基本需求,除此之外为用户提升体验而设计的功能则是附加功能。”京东法律研究院秘书长严少敏曾在一篇署名文章中如此区分核心与附加功能。以B2C电商为例,其核心功能简单说是实现网上购物所必需的功能,而智能化的搜索词提示和个性化推荐功能,则是为了满足缩小搜索目标范围以及体验“逛店”感受的,也应当被认定为核心功能。
值得注意的是,《规范》并未采取“一刀切”的方法来认定某一数据控制方的核心业务是什么。“我们的标准当时没有想规定什么叫核心和附加,就是想故意留一个口子,希望通过市场竞争或者社会监督能够起到这样的作用。”洪延青说。
未来不排除有的企业为减少用户授权次数,以期用一次授权获得用户对更多项功能的隐私授权,就将核心功能定得很多,附加功能定得很少,而实质上它本身只是个通讯软件,而另外一些通讯软件则只将通讯和社交功能定为核心功能,其他功能一律定为附加功能。对此,洪延青称,相信一定会有社会监督机构或者监管机构约谈相关企业时说,“你为什么定得不一样?”这样通过市场竞争和比较,逐渐形成行业惯例。
个人信息保护法“在路上”
尽管《规范》为数据控制方提供了一系列既遵循网络安全法,又切实可行的做法,但其法律效力却并不高。据了解,国家标准分为强制性和推荐性两种,而《规范》属于后者,无强制力。
李俊慧告诉《中国经济周刊》记者,《规范》并不属于法律或法规,其层级低于法律、法规。如果法律、法规的要求与标准不一致,则以法律、法规为准。对于法律、法规未明确的事项,该标准作为一项推荐性标准,可以作为评估企业相关个人信息保护措施的参照。
尽管我国已经存在一部网络安全法,但其解决的主要是与网络安全相关的问题,涉及面比较广泛,虽然网络安全法中有专门针对个人信息安全保护的章节,但由于立法目的不同,可能对个人信息的保护并不全面,因此一直有声音呼吁制定一部专门的个人信息保护法。
2018年2月,全国人大常委会法工委经济法室主任王瑞贺曾在接受媒体采访时透露,全国人大常委会法工委正在会同有关方面对个人信息保护立法的有关问题进行研究论证。2017年全国两会期间,吴晓灵等40余位全国人大代表向大会提交了《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》,同时将《中华人民共和国个人信息保护法(草案)》作为附件提交。
有分析认为,作为正式法律,个人信息保护法完全可以将《规范》当中对识别和关联路径、“最小化原则”以及将核心与附加功能进行区分等内容确定为未来正式的法律条款。
保护个人信息,互联网企业准备好了吗?
如前文所述,即便企业做法没有符合《规范》,仍不能认定其违反了网络安全法,相关部门不能以《规范》作为执法依据。但企业若按照《规范》行事,则肯定符合网络安全法的规定,从守法成本上来讲可降至最低。
针对《规范》的改造并不简单轻松,但互联网企业必须马上行动起来,企业是否已经准备好?
从人力到技术,企业要做好哪些准备?
首先是负责个人信息安全保护的人员是否到位。《规范》要求规模超过200人的,业务涉及用户个人信息的企业建立专门负责个人信息安全保护的部门以及设立专门的负责人。不少企业都正在按照这一标准进行调整。
“我们很早就有了这样的部门,其负责人被命名为‘首席隐私官’,360的业务条线也有很多,很多部门也都希望尽可能多地收集和使用用户个人信息,但首席隐私官所领导的部门会统一核准该做法是否符合规范和法律法规,是否符合360自身的价值观。”360集团董事长兼CEO周鸿祎表示,随着国家标准和相关法律法规的出台并生效,行业内部的企业肯定会按照相关要求进行调整,以使自身行为合乎监管原则。
李天天告诉记者,丁香园现有员工超过1000人,负责信息安全的相关机构和机构负责人均已到位。
京东首席安全官李德浩称:“京东安全委员会就是我们内部专门负责信息安全事务的,我本人就是这个部门的负责人。”
其次,在技术层面,《规范》指出识别路径和关联路径都应被算作个人信息,都应受到保护。识别路径是指通过某一段信息(如家庭住址、身份证号码、手机号码等)可直接识别出某具体自然人的信息,关联路径则是通过某一段互联网上的行为轨迹和记录,可在一定范围内通过关联作用识别出该自然人所具有的清晰特征的信息。以社交网络为例,即便其将用户个人具体信息保护到位,但用户在网站上的好友名单、黑名单和其他行为轨迹也可关联到用户本人,而这部分信息也属于个人信息。然而不少社交网站只重视前者而放松了后者,“不少社交网站将关联路径当做网络日志信息而非个人信息来处理,这是不合规的。”洪延青指出。
企业还要做到不同应用场景之间的个人信息不可联结。以视频网站为例,同一用户在其他消费场景,比如零售中的用户画像,对视频网站也极有意义,一旦掌握其消费习惯,可通过计算推测出其对视频类型的偏好。“零售网站上的用户画像,视频网站在背后是有相关渠道可以获得的,这在行业中属于灰色地带。”一位视频网站从业者向《中国经济周刊》记者透露说。
“类似的交易在丁香园并不存在。我认为如果没有用户本人的知情同意就进行交易,应该算是个人信息泄露。用户画像在不同的互联网企业之间流转,首先应当遵循用户本人意愿,在合法合规的前提下进行。”李天天对记者说,
但值得注意的是,随着互联网行业的并购不断发生,有些零售网站与视频网站背后有着相同的实际控制人,在组织文化和内部管理制度上甚至趋同,背后是否有在用户画像信息上的来往外界不得而知。《规范》对此有明确界定:要求企业具备透明性(数据的处理、流转要透明)、可干预性(如果需要删除或更正,需要具备溯源追究的能力)和不可联结性(在大数据平台中,不同场景不同目的的数据不能联结)。也就是说,即便一家互联网巨头旗下拥有多场景类别的服务,其也有能力将所有场景下的大数据建成统一平台,但不同场景的个人信息依然要坚持不可联结原则,这对致力于打造全场景服务的巨头企业至关重要。前述剑桥分析及其他程序在脸书上获得用户数据的行为,理论上也属于多场景类别下的数据流转问题,我国的《规范》对此类问题的要求较为明确:不可联结。
对于即将生效的《规范》,搜狗CEO王小川在接受《中国经济周刊》记者采访时表示,《规范》出台对行业来说是件好事,搜狗完全支持并且一直以来都遵循了《规范》所规定的在数据存储时间和调用数据量上的最小化原则,“搜狗一直是比较自律的,不会收集对用户没有帮助的数据,在能实现功能的前提下能不调用个人信息就不调用、能少调用就少调用。”王小川说,搜狗在云安全方面也做了很多的努力,完全可以确保个人信息安全且被合规地使用,“有了相关规范,做得好的企业只会让外界更加信任我们,搜狗很乐观。”
数据所有权归谁?用户还是数据收集者?
个人信息的所有权问题也很关键。对于个人信息到底归谁,业内大致分为两种论调:一种声音认为,虽然个人的行为才是所有数据和信息的来源,但个人行为本身不是数据,而是数据控制方的记录等一系列技术手段将其加工成一段段数据,并且用户在提供自身数据给数据控制方的过程中享受到了个性推荐等便利,所以该信息的至少部分所有权应归数据控制方。
上海数据交易中心CEO汤奇峰就曾对《中国经济周刊》记者表示,用户的个人行为本身不是数据,正是由于数据控制方的一系列技术手段的介入才将其加工成数据,才让用户享受到了互联网服务的便利。但他同时表示,在为用户提供便利的同时,数据控制方为防范个人信息泄露和不当使用对当事人的隐私权造成损害,需要在网络安全法框架下遵循正当性和必要性两个原则。
此外,另一种观点则认为,作为各项个人信息的源头,用户完全可以主张对信息所有权的完全所有权。在一些国家不乏数据提供商支付给用户一定的价格,以作为用户对其开放个人信息的回报。
周鸿祎便是“数据所有权归用户”的支持者。在今年全国两会期间,周鸿祎对《中国经济周刊》记者表示,他此次参会带来一份关于企业收集并使用个人信息应遵循“三原则”的提案。“首先数据的所有权毫无疑问属于用户本人,即便是互联网公司收集的,但也不能拥有所有权,个人信息只是暂时托管在互联网公司的服务器中。”其他两项原则分别是保证用户的知情权和选择权以及服务过程中的信息安全。“根据每个应用的具体情况,服务提供商做什么都要让用户知道,当然不能‘一刀切’。如果需要打开麦克风收集用户的声音,这种行为是否提前让用户知晓?是否提前告诉用户为什么要这么做?用户如果不同意,应有权利选择拒绝。此外,用户个人信息在互联网企业使用的过程中要被很好地保护,不能有不明的去向以及泄露。”
周鸿祎认为,政府如果能推动解决好这三个问题,用户和数据控制方之间就能建立很好的信任,用户放心地允许企业收集,企业用合规的方式赚钱。
“作为互联网公司,我们收集用户数据很少有恶意。”网易创始人丁磊对《中国经济周刊》记者表示,互联网企业保存用户信息的一个风险在于,有些黑色产业链条会盯上企业服务器中的个人信息并通过非法手段盗取,“我们的收集和使用本身没有恶意;当然,要保护个人信息在企业服务器中的安全,这是我们该做的。”